Horario Ponencias MorterueloCON 2020

Las ponencias se desarrollarán durante el día 28-02-2020 en los siguientes horarios:
09:00/09:30

Recepción y acreditación de los asistentes a la 6ª Edición de MorteureloCon

09:30/10:00

Inauguración de las Jornadas

10:00/10:40

Con la propagación de los dispositivos del llamado Internet de las cosas en nuestros hogares se han producido importantes cambios en nuestra forma de relacionarnos, no solo con la domótica, sino también con todo tipo de servicios accesibles desde este tipo de dispositivos. Si bien, los beneficios que aporta el IoT a nuestros hogares son muchos, también lo son los riesgos asociados a un mal diseño o implementación, y que pueden comprometer datos e información confidencial, así como provocar situaciones molestas e incluso peligrosas para nuestra salud física.
Para ver a que riesgos nos exponemos, hemos realizado durante los últimos meses una serie de pruebas a varios de estos dispositivos, para revisar el nivel de seguridad que incorporan y a que riesgos nos exponen. Esta presentación es el resultado de esas investigaciones, donde se analizarán, entre otros, sistemas operativos utilizados en Smart TVs y otros dispositivos de streaming multimedia, asistentes virtuales, sensores de movimiento, cámaras de vigilancia, estaciones meteorológicas, básculas y sistemas de medición de salud cardiaca, altavoces WiFi y enchufes inteligentes.
Durante la presentación analizaremos aspectos como sus funcionalidades, el tratamiento de los datos recopilados, su seguridad en base a las vulnerabilidades encontradas y su vinculación con otros dispositivos. Todo ello con la finalidad de mostrar a la audiencia de forma amena cuales son los pros y las contras de este tipo de dispositivos para que valoren o no su adquisición en base a los datos expuestos.

10:50/11:30

Continuamente nos llegan ofertas de muerte de artículos muy buscados con precios irresistibles. A veces como anuncios en webs o redes sociales, y otras por correos electrónicos. Con el auge de los black fridays, singles days, rebajas, navidades, continuamente nos inundan de chollos irresistibles. Y por desgracia muchas veces son fraudes. Hoy día algunos son prácticamente indistinguibles de los originales, y se hace más necesario que nunca técnicas OSINT para descubrir realmente quienes están detrás de esas falsas webs y quienes envían esos correos, cómo lo hacen, qué mecanismos utilizan, y de qué modo podríamos reconocerlos de manera totalmente efectiva. Veremos cómo mediante de técnicas OSINT podemos descubrir las sociedades empresariales detrás de estas técnicas fraudulentas, cómo se distribuyen, y dónde se fabrican. Y lo más interesante, podemos determinar los patrones que siguen esas webs para bloquearlas y poner a salvo a nuestros usuarios, o emplearlos como herramientas de detección de indicadores de compromiso en investigaciones forenses y policiales.

11:30/12:00

A esta hora haremos un descanso para tomar un pequeño almuerzo proporcionado por la Organización.

12:00/12:40

Las Administraciones Públicas deben notificar aquellos incidentes que tengan un impacto significativo en la seguridad de la información que manejan y de los servicios que prestan.

De los diversos organismos que tienen atribuidas las competencias en materia de ciberseguridad, el Sector Público tiene asignado como organismo de referencia al CCN-CERT del Centro Criptológico Nacional del Centro Nacional de Inteligencia.

La presentación introducirá la gestión de incidentes de seguridad y cómo la Administración Regional comunica dichos incidentes al CCN-CERT del Centro Criptológico Nacional.

12:50/13:30

Uso avanzado de ZAP en donde se explicarán los siguientes puntos desde la práctica (en vivo) Se explicarán los siguientes puntos. - Procesos de pentesting con ZAP. - Tuning de la JVM para ejecutar ZAP de forma más óptima. - Escaneos activos y pasivos con ZAP. - Procesos de Fuzzing. - Grabación y ejecución de rutinas con Zest. - Scripting con Zest utilizando la interfaz de ZAP. - Rutinas automátizadas utilizando la API Rest de ZAP.

13:40/14:10
14:10/15:30

Haremos una pequeña pausa para comernos un bocadillo y un agua.

15:30/16:10

Se hablara sobre el Red Team como equipo ofensivo, el Blue Team como equipo defensivo y el Purple Team como equipo colaborativo, donde el Purple Team se muestra como un enfoque moderno al desarrollo seguro de aplicaciones, y como se relaciona con la cultura SecDevOps(DevSecOps), tambien se mostrara lo que es capaz un Purple Team haciendo uso de metodologias y herramientas para ello

16:20/17:00

En la charla se explicarán conceptos de OSINT, scraping, parsing y Big Data y técnicamente cómo se han desarrollado las diferentes metodologías de trabajo, aplicaciones y bots. De una forma muy humilde. Enseñando los problemas que tuvo el ponente y que soluciones encontró. Se realizará una simulación de un caso real de investigación como perito informático de un caso real. La víctima era el dueño de un hotel que había perdido todas las reservas del año por un ransomware y estaba dispuesto llegar hasta el final. Por ello, contrató el servicio de investigación y OSINT con el objetivo de encontrar a los autores de dicha intrusión y secuestro. El ponente desde un punto de vista técnico y ameno contará su historia de una forma divertida, pero siempre enseñando las diferentes metodologías y herramientas que utilizó. Expondrá cómo creó un big data y realizó diferentes líneas de investigación que finalizaron con la identificación de susodicho.

17:10/17:50

Se trata de una charla introductoria a los sistemas ferroviarios, explicando sistemas de señales como el Bloqueo Telefónico, Bloqueo automático, Control de Tráfico centralizado, ASFA, ERMTS, GSM-R, etc. Qué riesgos componen cada uno, etc.
También se analizará la seguridad y resiliencia ante fallos de la red española gestionada por Adif, basándose en sus documentos públicos, y qué cosas nos podemos creer y cuáles… ejem…

17:50/18:00

Despedida de los asistentes que no nos acompañen a la siguiente actividad

CONs-amigas